보조형 AI에서 에이전트형 AI로
보안 팀은 너무 많은 도구를 보유하고 있습니다. 취약점 스캐너, 위협 인텔리전스, 클라우드 모니터링 등 가용 가능한 도구는 그 어느 때보다 많고 가시성도 높습니다.
하지만 여전히 긴 조사 주기와 알람 피로(alert fatigue) 문제에 직면해 있습니다. 문제는 데이터의 부족이 아닙니다. 공격자가 움직이기 전에 그 데이터를 실행 가능한 조치로 전환하는 것이 문제입니다.
업계는 보조형 AI(Assistive AI)에서 에이전트형 AI(Agentic AI)로 전환되고 있습니다. 이러한 변화는 위협 관리 방식을 근본적으로 바꿉니다.
도구가 늘어나도 문제가 해결되지 않는 이유:
대부분의 보안 도구는 각자 독립적으로 작동합니다. 위협 인텔리전스는 리스크를 찾아내고, 스캐너는 약점을 발견하며, SIEM 플랫폼은 로그를 수집합니다.
이러한 도구들은 서로 원활하게 소통하지 못합니다. 팀원들은 시스템 간에 데이터를 옮기는 데 수 시간을 허비합니다. 조치 사항을 승인할 때쯤이면 공격자는 이미 네트워크 깊숙이 침투해 있을 것입니다. 조율(Coordination)이 바로 결여된 핵심 요소입니다.
보조형 AI vs. 에이전트형 AI:
보조형 AI는 업무 속도를 높여줍니다. 보고서를 요약하고 질문에 답하며 시간을 절약해 주지만, 여전히 사람이 모든 결정을 내리고 모든 조치를 조율해야 합니다.
에이전트형 AI는 다르게 작동합니다. 지시를 기다리지 않습니다. 정보를 모니터링하고, 무엇이 중요한지 판단하며, 시스템 전반에 걸쳐 워크플로우를 실행합니다.
에이전트형 시스템은 다음과 같은 작업을 수행할 수 있습니다:
• 특정 자산에 대한 위협 인텔리전스 대조 확인 • 리스크에 노출된 시스템 식별 • 보안 통제 항목의 실제 작동 여부 테스트 • 조치 작업의 긴급도에 따른 분류 • 심각한 발견 사항의 자동 에스컬레이션
이는 단순한 자동화의 확장이 아닙니다. 머신 스피드(machine speed)로 이루어지는 자율적 의사결정 지원입니다.
이는 지속적 위협 노출 관리(CTEM, Continuous Threat Exposure Management) 측면에서 매우 중요합니다. CTEM은 노출을 발견, 검증 및 수정하는 과정을 끊임없이 반복해야 합니다. 도구들이 사일로(silo)화되어 있다면 CTEM은 실패할 수밖에 없습니다. 에이전트형 AI는 이러한 요소들을 하나의 연속적인 흐름으로 연결합니다.
컨텍스트(Context)가 핵심 병기입니다.
스캐너는 수천 개의 문제를 표시하고, 위협 피드는 수백 개의 신호를 나열합니다. 컨텍스트가 없다면 노이즈를 처리하느라 시간을 낭비하게 됩니다.
에이전트형 시스템은 다음 사항들을 분석하여 컨텍스트를 추가합니다:
• 비즈니스 핵심 자산 • 현재의 보안 통제 항목 • 알려진 공격 경로 • 과거 침해 사고 데이터
이를 통해 실제 세계에서 중요한 리스크에 집중
단순히 리스크를 관찰하는 데 그치지 마십시오. 이제 행동으로 옮기십시오.
학습 커뮤니티(선택 사항): https://t.me/GyaanSetuAi